前言

搞iot搞久了,换个方向看看,改改口味。

windows 常见结构体

在分析Cobaltstrike-shellcode之前我们得先了解一下windows下一些常见的结构体。

X86

Thread Environment Block 环境线程块 —— TEB

位于fs[0]的位置,结构如下:

typedef struct _NT_TEB

{

    NT_TIB Tib;                         // 00h

    PVOID EnvironmentPointer;           // 1Ch

    CLIENT_ID Cid;                      // 20h

    PVOID ActiveRpcInfo;                // 28h

    PVOID ThreadLocalStoragePointer;    // 2Ch

    PPEB Peb;                           // 30h          <--注意这里 Process Environment Block

    ULONG LastErrorValue;               // 34h

    ULONG CountOfOwnedCriticalSections; // 38h

    PVOID CsrClientThread;              // 3Ch

    PVOID Win32ThreadInfo;              // 40h

    ULONG Win32ClientInfo[0x1F];        // 44h

    PVOID WOW32Reserved;                // C0h

    ULONG CurrentLocale;                // C4h

    ULONG FpSoftwareStatusRegister;     // C8h

    PVOID SystemReserved1[0x36];        // CCh

    PVOID Spare1;                       // 1A4h

    LONG ExceptionCode;                 // 1A8h

    ULONG SpareBytes1[0x28];            // 1ACh

    PVOID SystemReserved2[0xA];         // 1D4h

    GDI_TEB_BATCH GdiTebBatch;          // 1FCh

    ...

    PVOID ReservedForOle;               // F80h

    ULONG WaitingOnLoaderLock;          // F84h

    PVOID StackCommit;                  // F88h

    PVOID StackCommitMax;               // F8Ch

    PVOID StackReserve;                 // F90h

    PVOID MessageQueue;                 // ???

}
Process Environment Block 线程信息块 —— PEB

位于TEB[0x30]的位置,结构如下:

typedef struct _PEB

{

    UCHAR InheritedAddressSpace;                     // 00h

    UCHAR ReadImageFileExecOptions;                  // 01h

    UCHAR BeingDebugged;                             // 02h

    UCHAR Spare;                                     // 03h

    PVOID Mutant;                                    // 04h

    PVOID ImageBaseAddress;                          // 08h

    PPEB_LDR_DATA Ldr;                               // 0Ch          <--注意这里 DllList 成员,此成员指向 _PEB_LDR_DATA(进程加载模块链表)

    PRTL_USER_PROCESS_PARAMETERS ProcessParameters;  // 10h

    PVOID SubSystemData;                             // 14h

    PVOID ProcessHeap;                               // 18h

    PVOID FastPebLock;                               // 1Ch

    PPEBLOCKROUTINE FastPebLockRoutine;              // 20h

    PPEBLOCKROUTINE FastPebUnlockRoutine;            // 24h

    ULONG EnvironmentUpdateCount;                    // 28h

    PVOID* KernelCallbackTable;                      // 2Ch

    PVOID EventLogSection;                           // 30h

    PVOID EventLog;                                  // 34h

    PPEB_FREE_BLOCK FreeList;                        // 38h

    ULONG TlsExpansionCounter;                       // 3Ch

    PVOID TlsBitmap;                                 // 40h

    ULONG TlsBitmapBits[0x2];                        // 44h

    PVOID ReadOnlySharedMemoryBase;                  // 4Ch

    PVOID ReadOnlySharedMemoryHeap;                  // 50h

    PVOID* ReadOnlyStaticServerData;                 // 54h

    PVOID AnsiCodePageData;                          // 58h

    PVOID OemCodePageData;                           // 5Ch

    PVOID UnicodeCaseTableData;                      // 60h

    ULONG NumberOfProcessors;                        // 64h

    ULONG NtGlobalFlag;                              // 68h

    UCHAR Spare2[0x4];                               // 6Ch

    LARGE_INTEGER CriticalSectionTimeout;            // 70h

    ULONG HeapSegmentReserve;                        // 78h

    ULONG HeapSegmentCommit;                         // 7Ch

    ULONG HeapDeCommitTotalFreeThreshold;            // 80h

    ULONG HeapDeCommitFreeBlockThreshold;            // 84h

    ULONG NumberOfHeaps;                             // 88h

    ULONG MaximumNumberOfHeaps;                      // 8Ch

    PVOID** ProcessHeaps;                            // 90h

    PVOID GdiSharedHandleTable;                      // 94h

    PVOID ProcessStarterHelper;                      // 98h

    PVOID GdiDCAttributeList;                        // 9Ch

    PVOID LoaderLock;                                // A0h

    ULONG OSMajorVersion;                            // A4h

    ULONG OSMinorVersion;                            // A8h

    ULONG OSBuildNumber;                             // ACh

    ULONG OSPlatformId;                              // B0h

    ULONG ImageSubSystem;                            // B4h

    ULONG ImageSubSystemMajorVersion;                // B8h

    ULONG ImageSubSystemMinorVersion;                // C0h

    ULONG GdiHandleBuffer[0x22];                     // C4h

    PVOID ProcessWindowStation;                      // ???

}
_PEB_LDR_DATA 结构体

位于PEB[0xc]的位置,结构如下:

typedef struct _PEB_LDR_DATA

{

 ULONG Length;                                // +0x00

 BOOLEAN Initialized;                         // +0x04

 PVOID SsHandle;                              // +0x08

 LIST_ENTRY InLoadOrderModuleList;            // +0x0c 模块加载顺序

 LIST_ENTRY InMemoryOrderModuleList;          // +0x14 模块在内存中的顺序

 LIST_ENTRY InInitializationOrderModuleList;  // +0x1c 模块初始化时的顺序

} PEB_LDR_DATA,*PPEB_LDR_DATA;                 // +0x24

_LIST_ENTRY 结构体如下

typedef struct _LIST_ENTRY {

 struct _LIST_ENTRY *Flink;

 struct _LIST_ENTRY *Blink;

} LIST_ENTRY, *PLIST_ENTRY, *RESTRICTED_POINTER PRLIST_ENTRY;

三个双向链表(LIST_ENTRY)分别指向_LDR_DATA_TABLE_ENTRY结构体(但并不是都指向开始位置)。如InMemoryOrderList对应第一个模块的结构体,指向_LDR_DATA_TABLE_ENTRY[0x8]

_LDR_DATA_TABLE_ENTRY 结构体

结构如下:

typedef struct _LDR_DATA_TABLE_ENTRY

{

	LIST_ENTRY64	InLoadOrderLinks;           // 0x0

	LIST_ENTRY64	InMemoryOrderLinks;         // 0x8

	LIST_ENTRY64	InInitializationOrderLinks; // 0x10

	PVOID			DllBase;            // 0x18

	PVOID			EntryPoint;         // 0x20

	ULONG			SizeOfImage;        // 0x28

	UNICODE_STRING	FullDllName;                // 0x30

	UNICODE_STRING	BaseDllName;

	ULONG			Flags;

	USHORT			LoadCount;

	USHORT			TlsIndex;

	PVOID			SectionPointer;

	ULONG			CheckSum;

	PVOID			LoadeImports;

	PVOID			EntryPointActivationContext;

	PVOID			PatchInformation;

	LIST_ENTRY64	ForwarderLinks;

	LIST_ENTRY64	ServiceTagLinks;

	LIST_ENTRY64	StaticLinks;

	PVOID			ContextInformation;

	ULONG			OriginalBase;

	LARGE_INTEGER	LoadTime;

}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENYRY;

X86-64

X86-64X86大同小异,由于我们之后分析的是32位的程序,这里X86-64结构体我就先不介绍,等以后有机会碰到再补充。

Cobaltstrike —— shellcode分析(一)的更多相关文章

  1. CVE-2015-1641 Office类型混淆漏洞及shellcode分析

    作者:枕边月亮 原文来自:CVE-2015-1641 Office类型混淆漏洞及shellcode分析 0x1实验环境:Win7_32位,Office2007 0x2工具:Windbg,OD,火绒剑, ...

  2. 针对中国政府机构的准APT攻击样本Power Shell的ShellCode分析

    本文链接网址:http://blog.csdn.net/qq1084283172/article/details/45690529 一.事件回放 网络管理员在服务器上通过网络监控软件检测到,有程序在不 ...

  3. 一步一步pwn路由器之路由器环境修复&&rop技术分析

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 拿到路由器的固件后,第一时间肯定是去运行目标程序,一般是web服务 ...

  4. CVE-2014-0322漏洞成因与利用分析

    CVE-2014-0322漏洞成因与利用分析 1. 简介 此漏洞是UAF(Use After Free)类漏洞,即引用了已经释放的内存,对指定内存处的值进行了加1.其特点在于攻击者结合flash实现了 ...

  5. CVE-2010-2883-CoolType.dll缓冲区溢出漏洞分析

    前言 此漏洞是根据泉哥的<漏洞战争>来学习分析的,网上已有大量分析文章在此只是做一个独立的分析记录. 复现环境 操作系统 -> Windows XP Sp3 软件版本 -> A ...

  6. BlackArch-Tools

    BlackArch-Tools 简介 安装在ArchLinux之上添加存储库从blackarch存储库安装工具替代安装方法BlackArch Linux Complete Tools List 简介 ...

  7. CVE-2013-3346:十全九美的 Adobe Reader ToolButton UAF 漏洞

    0x01 "Epic Turla" 网络间谍行动 在 2014 年 8 月,被誉为 "世界十大最危险的网络攻击行动" 之一的 "Epic Turla& ...

  8. 【逆向篇】分析一段简单的ShellCode——从TEB到函数地址获取

    其实分在逆向篇不太合适,因为并没有逆向什么程序. 在http://www.exploit-db.com/exploits/28996/上看到这么一段最简单的ShellCode,其中的技术也是比较常见的 ...

  9. [原创]CobaltStrike & Metasploit Shellcode一键免杀工具

    CobaltStrike & Metasploit  Shellcode一键免杀工具 作者: K8哥哥 图片 1个月前该工具生成的exe免杀所有杀软,现在未测应该还能过90%的杀软吧. 可选. ...

  10. scdbg分析shellcode

    https://isc.sans.edu/forums/diary/Another+quickie+Using+scdbg+to+analyze+shellcode/24058/ scdbg -f s ...

随机推荐

  1. 【Java SE进阶】Day05 异常,线程

    一.异常 1.概念 程序执行过程中,出现非正常情况导致JVM的非正常停止 本身是一个类,产生异常即创建并抛出一个异常对象 Java处理异常的方式是进行中断处理 异常非语法错误,语法错误直接不会产生cl ...

  2. React DevUI 18.0 正式发布🎉

    Jay 是一位经验丰富并且对质量要求很高的开发者,对 Angular.React 等多种框架都很熟悉,我们在开源社区认识,在我做开源社区运营的过程中,Jay 给了我很多帮助,他也是 React Dev ...

  3. 1.5.6 NN与2NN-hadoop-最全最完整的保姆级的java大数据学习资料

    目录 1.5.6 NN与2NN 1.5.6.1 HDFS元数据管理机制 1.5.6.2 Fsimage与Edits文件解析 1.5.6.2.1 Fsimage文件内容 1.5.6.2.2 Edits文 ...

  4. Jenkins服务器上创建项目和配置

    大体步骤:General(基础配置)-->源码管理-->构建触发器-->构建环境-->构建-->构建后操作 1.创建一个工程 2.General(基础配置) 仅需填写标准 ...

  5. 网络监测工具之Zabbix的搭建与测试方法(一)

    简介 Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案,它能监视各种网络参数,保证服务器系统的安全运营:并提供灵活的通知机制以让系统管理员快速定位/解决存在的 ...

  6. vue3+ts 全局事件总线mitt

    Mitt 在vue3中 $ on,$off 和 $once 实例方法已被移除,组件实例不再实现事件触发接口,因此大家熟悉的EventBus便无法使用了.然而我们习惯了使用EventBus,对于这种情况 ...

  7. Redis学习整理

    目录 1.Redis基本概念 2.Redis的5种基本类型 3.Jedis整合redis操作 4.Springboot整合redis 5.Redis主从复制 5.1.概念 5.2.原理 6.开启主从复 ...

  8. Django框架:13、csrf跨站请求伪造、auth认证模块及相关用法

    Django框架 目录 Django框架 一.csrf跨站请求伪造 1.简介 2.csrf校验策略 form表单csrf策略 ajax请求csrf策略 3.csrf相关装饰器 FBV添加装饰器方式 C ...

  9. CF1779 Least Prefix Sum

    url:Problem - C - Codeforces 题意: 给n个数字和一个m 给一个操作:每次使得其中一个下标的数字 *= -1 要求最后在所有前缀和中前m个数字是最小的 思路: 在所有前缀和 ...

  10. C++指针【cherno课程学习】

    定义: 指针是一个整数,一种存储内存地址的数字 内存就像一条线性的线,在这条街上的每一个房子都有一个号码和地址 类似比喻成电脑,这条街上每一个房子的地址 是一个字节 我们需要能够准确找到这些地址的方法 ...